中消协近日发布了对10类100款APP个人信息收集与隐私政策测评结果,显示多达91款APP列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息问题。另外,还发现34款APP没有隐私条款,严重侵犯消费者知情权、隐私权。按照5星标准,百合婚恋、1905电影网、E代驾、同花顺、悟空理财、139邮箱等仅获一星评价。
六成APP过度收集位置信息
位置信息、通讯录信息和手机号码等3种个人信息是过度收集或使用个人信息最常见的内容。100款APP中,有59款涉嫌过度收集“位置信息”。
按照《个人信息安全规范》规定,对个人信息的收集应有明确目的,不得超出产品功能相关目的收集额外个人信息,很多被测评APP在隐私政策等文件中,未将其收集的个人信息与其实现的产品功能明确挂钩,其中很多个人信息与消费者通常理解的产品功能之间无明显关联,甚至明显超出合理范围。
测评结果显示,各类APP调用定位权限情况极为普遍,从10大类APP分析,除邮箱云盘、交易支付和出行导航类APP外,其他7大类APP超过一半存在过度收集或使用用户位置信息问题。其中,通讯社交和影音播放类APP产生此类问题更为突出,分别多达10款和9款APP涉嫌存在过度收集用户位置信息现象。
出行导航、旅游住宿、网上购物类APP对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求,但对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类APP来说,调用用户位置信息对于这些服务是非必需信息,存在过度收集或使用嫌疑。
部分APP涉嫌过度收集通讯录信息和财产信息
通讯录信息、身份信息、手机号码也是用户个人信息过度收集或使用较多的内容,在受测评中分别有28款、23款、22款APP涉嫌存在此类情况。
通讯录信息、手机号码涉及用户的个人隐私,属于个人敏感信息,存在较高的商业价值,部分仅提供手机号注册方式,借助手机权限开放的便利,很容易收集手机号码及通讯录信息。以收集通讯录为例,10类APP中,4款金融理财类APP与3款影音播放类APP收集用户通讯录信息。调查发现,139邮箱涉嫌过度收集手机、姓名、电话号码、出生年月日、地址等信息。
个人财产信息、个人生物识别信息属于个人敏感信息。个人敏感信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途不可控,可能对个人信息主体人身和财产带来重大风险。测评发现,其中11款APP涉嫌过度收集财产信息,10款APP涉嫌过度收集生物识别信息。例如,“美图秀秀”就涉嫌过度收集可识别生物信息、财务信息等。
79款APP隐私政策存在默认同意等问题
2018年5月份,推荐性国家标准《个人信息安全规范》正式实施,《个人信息安全规范》对于个人信息收集、保存、使用、流转等环节提出了要求,是国内在个人信息保护实践方面的重要参考标准。但是,依据参考标准,有47款APP隐私条款内容不达标,34款APP没有隐私条款。
在100款中仅有一半的隐私条款得分达到及格分以上,另外有超过三分之一的隐私条款得分为0,即未对用户公布个人信息隐私条款。例如,中国工商银行APP没有单独的隐私政策,链接中仅提供隐私保密声明。
针对是否征得用户同意这一打分项,有79款扣分;仅有21款的隐私条款是在明确征得用户同意后收集相关信息,大部分APP存在默认同意隐私条款现象,并未征得用户同意。例如,“e代驾”隐私条款存在于用户协议中,没有独立成文的隐私政策,且为默认勾选,未主动提示用户阅读,极易被用户忽略。
同时,部分APP存在“自行承担风险”等不合理免责条款。例如,“悟空理财”存在“您须对您本人在使用本网站所提供服务时的一切行为、行动(不论是否故障)负全部责任”等不合理免责条款。“拼多多”对使用任一服务即表示同意本政策的所有内容,以及首次使用即使未签署协议也视为同意的条款存在不合理性。
在测评活动中,中消协发现亟需加强隐私保护立法。“一方面测评所依据的相关规范法律层级较低,另一方面有关部门出台的相关管理规定可操作性不强,测评反映出各类APP落实隐私条款要求方面存在较大差异,隐私条款不完善或缺失情况严重。”中消协商品服务监督部主任皮小林建议,有关部门应综合考虑当前APP隐私保护方面的严峻形势,加强隐私保护立法,落实具体措施,提高立法立规水平,为消费者个人信息安全提供更好的法律和制度保护。
“测评结果表明,目前各类APP无论是否有隐私条款都可以在应用商店中下载使用,各下载平台并未审核APP隐私政策公开或内容要求,APP开发商管理、APP应用商店管理、APP投诉管理以及违规处罚机制等各个环节均有待进一步加强。”皮小林认为,应用商店平台应切实履行审核责任,强化APP隐私条款的明示公示义务,对于没有隐私条款的应当及时下架,并提醒消费者谨慎下载使用,应当要求相关隐私条款内容不得损害消费者合法权益,不得保留不公平格式条款。(记者 佘 颖)